iis日志字段解析

IIS日志字段

#Software: Microsoft Internet Information Services 7.5

#Version: 1.0

#Date: 2013-08-21 01:00:00

#Fields: date time s-sitename s-computername s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs-version cs(User-Agent) cs(Cookie) cs(Referer) cs-host sc-status sc-substatus sc-win32-status sc-bytes cs-bytes time-taken

日志的主体是一条一条的请求信息，请求信息的格式是由#Fields定义的，每个字段都有空格隔开。

前缀	含义
s-	服务器操作。
c-	客户端操作。
cs-	客户端到服务器的操作。
sc-	服务器到客户端的操作。

date：              表示记录访问日期；
    time：              访问时间；
    s-sitename：  客户端所访问的该站点的 Internet 服务和实例的号码。
    s-ip：              服务器ip
    cs-method：   表示访问方法，常见的有两种，一是GET，就是平常我们打开一个URL访问的动作，二是POST，提交表单时的动作；
    cs-uri-stem：   就是访问哪一个文件；
    cs-uri-query： 是指访问地址的附带参数，如asp文件?后面的字符串id=12等等，如果没有参数则用-表示；
    s-port：             访问的端口
    cs-username： 对于通过身份验证的用户，格式是“域\用户名”；对于匿名用户，是一个连字符 (-)。
    c-ip：                 访问服务器的客户端 IP 地址。（已过滤掉中间各种IP，是真实的客户端IP）
    cs(User-Agent)：在客户端使用的浏览器。

-----------------------------------------------------------------------------------------------
    sc-status：状态，200表示成功，403表示没有权限，404表示打不到该页面，500表示程序有错；
    sc-substatus：跟数据缓存有关

cs–win32-statu： 客户端传送到服务端的字节大小；

通过这几个字段可以判断iis响应的状态是否正常。

-----------------------------------------------------------------------------------------

time-taken: 处理所用的时间 ，单位毫秒

默认包含网络传输的时间，只有当返回内容小鱼2k或者开启tcp缓存时不包含网络传输时间。

详细解释点此

--------------------------------------------------------------------------------------------

附：HTTP状态代码： 官方说明

概括：

1**：表示请求收到，继续处理
2**：表示操作成功收到，分析、接受
3**：表示完成此请求必须进一步处理
4**：表示请求包含一个错误语法或不能完成
5**：表示服务器执行一个完全有效请求失败

详细代码说明：

 Continue 初始的请求已经接受，客户应当继续发送请求的其余部分

 Switching Protocols 服务器将遵从客户的请求转换到另外一种协议

 OK 一切正常，对GET和POST请求的应答文档跟在后面。

 Created 服务器已经创建了文档，Location头给出了它的URL。

 Accepted 已经接受请求，但处理尚未完成。

 Non-Authoritative Information 文档已经正常地返回，但一些应答头可能不正确，因为使用的是文档的拷贝

204 No Content 没有新文档，浏览器应该继续显示原来的文档。如果用户定期地刷新页面，而Servlet可以确定用户文档足够新，这个状态代码是很有用的

 Reset Content 没有新的内容，但浏览器应该重置它所显示的内容。用来强制浏览器清除表单输入内容

 Partial Content 客户发送了一个带有Range头的GET请求，服务器完成了它

 Multiple Choices 客户请求的文档可以在多个位置找到，这些位置已经在返回的文档内列出。如果服务器要提出优先选择，则应该在Location应答头指明。

 Moved Permanently 客户请求的文档在其他地方，新的URL在Location头中给出，浏览器应该自动地访问新的URL。

 Found 类似于301，但新的URL应该被视为临时性的替代，而不是永久性的。

 See Other 类似于301/302，不同之处在于，如果原来的请求是POST，Location头指定的重定向目标文档应该通过GET提取

 Not Modified 客户端有缓冲的文档并发出了一个条件性的请求（一般是提供If-Modified-Since头表示客户只想比指定日期更新的文档）。服务器告诉客户，原来缓冲的文档还可
以继续使用。

 Use Proxy 客户请求的文档应该通过Location头所指明的代理服务器提取

 Temporary Redirect 和302（Found）相同。许多浏览器会错误地响应302应答进行重定向，即使原来的请求是POST，即使它实际上只能在POST请求的应答是303时才能重定向。由于这个原因，HTTP 1.1新增了307，以便更加清除地区分几个状态代码：当出现303应答时，浏览器可以跟随重定向的GET和POST请求；如果是307应答，则浏览器只能跟随对GET请求的重定向。

 Bad Request 请求出现语法错误。

 Unauthorized 客户试图未经授权访问受密码保护的页面。应答中会包含一个WWW-Authenticate头，浏览器据此显示用户名字/密码对话框，然后在填写合适的Authorization头后再次发出请求。

 Forbidden 资源不可用。

 Not Found 无法找到指定位置的资源

 Method Not Allowed 请求方法（GET、POST、HEAD、DELETE、PUT、TRACE等）对指定的资源不适用。

 Not Acceptable 指定的资源已经找到，但它的MIME类型和客户在Accpet头中所指定的不兼容

 Proxy Authentication Required 类似于401，表示客户必须先经过代理服务器的授权。

 Request Timeout 在服务器许可的等待时间内，客户一直没有发出任何请求。客户可以在以后重复同一请求。

 Conflict 通常和PUT请求有关。由于请求和资源的当前状态相冲突，因此请求不能成功。

  表示文档永久地离开了指定的位置，而404表示由于未知的原因文档不可用。

 Length Required 服务器不能处理请求，除非客户发送一个Content-Length头。

 Precondition Failed 请求头中指定的一些前提条件失败

 Request Entity Too Large 目标文档的大小超过服务器当前愿意处理的大小。如果服务器认为自己能够稍后再处理该请求，则应该提供一个Retry-After头

 Request URI Too Long URI太长

 Requested Range Not Satisfiable 服务器不能满足客户在请求中指定的Range头

 Internal Server Error 服务器遇到了意料不到的情况，不能完成客户的请求

 Not Implemented 服务器不支持实现请求所需要的功能。例如，客户发出了一个服务器不支持的PUT请求

 Bad Gateway 服务器作为网关或者代理时，为了完成请求访问下一个服务器，但该服务器返回了非法的应答

 Service Unavailable 服务器由于维护或者负载过重未能应答。例如，Servlet可能在数据库连接池已满的情况下返回503。服务器返回503时可以提供一个Retry-After头

 Gateway Timeout 由作为代理或网关的服务器使用，表示不能及时地从远程服务器获得应答

 HTTP Version Not Supported 服务器不支持请求中所指明的HTTP版本

------------sc-win32-status 状态说明-------------

成功完成的时候该状态数值为0，其他的状态数值代表的意思如下：

1. 函数不正确
2. 系统找不到指定的文件
3. 系统找不到指定的路径
4. 系统无法打开文件
5. 拒绝访问
6. 句柄无效
7. 存储控制块被损坏
8. 存储空间不足，无法处理此命令
9. 存储控制块地址无效
10. 环境不正确
11. 试图加载格式不正确的程序
12. 访问码无效
13. 数据无效
14. 存储空间不足，无法完成此操作
15. 系统找不到指定的驱动器
16. 无法删除目录
17. 系统无法将文件移到不同的驱动器
18. 没有更多文件
19. 媒体受写入保护
20. 系统找不到指定的设备
21. 设备未就绪
22. 设备不识别此命令
23. 数据错误(循环冗余检查)
24. 程序发出命令，但命令长度不正确
25. 驱动器找不到磁盘上特定区域或磁道
26. 无法访问指定的磁盘或软盘
27. 驱动器找不到请求的扇区
28. 打印机缺纸
29. 系统无法写入指定的设备
30. 系统无法从指定的设备上读取
31. 连到系统上的设备没有发挥作用
32. 另一个程序正在使用此文件，进程无法访问
33. 另一个程序已锁定文件的一部分，进程无法访问
34. 无
35. 无
36. 用来共享的打开文件过多
37. 无
38. 已到文件结尾
39. 磁盘已满
40. 不支持请求
41. 无
42. 无
43. 无
44. 无
45. 无
46. 无
47. 无
48. 无
49. 无
50. 无
51. Windows 无法找到网络路径。请确认网络路径正确并且目标计算机不忙或已关闭
    dows 仍然无法找到网络路径，请与网络管理员联系
52. 由于网络上有重名，没有连接。请到“控制面板”中的“系统”更改计算机名
53. 找不到网络路径
54. 网络很忙
55. 指定的网络资源或设备不再可用
56. 已达到网络 BIOS 命令限制
57. 网络适配器硬件出错
58. 指定的服务器无法运行请求的操作
59. 出现了意外的网络错误
60. 远程适配器不兼容
61. 打印机队列已满
62. 服务器上没有储存等待打印的文件的空间
63. 已删除等候打印的文件
64. 指定的网络名不再可用   详细解析
65. 拒绝网络访问
66. 网络资源类型不对
67. 找不到网络名
68. 超出本地计算机网络适配器卡的名称限制
69. 超出了网络 BIOS 会话限制
70. 远程服务器已暂停，或正在启动过程中
71. 已达到计算机的连接数最大值，无法再同此远程计算机连接
72. 已暂停指定的打印机或磁盘设备
73. 无
74. 无
75. 无
76. 无
77. 无
78. 无
79. 无
80. 文件存在
81. 无
82. 无法创建目录或文件
83. INT 24 上的故障
84. 无法取得处理此请求的存储空间
85. 本地设备名已在使用中
86. 指定的网络密码不正确
87. 参数不正确
88. 网络上发生写入错误
89. 系统无法在此时启动另一个进程

以上是100以内的错误代码代表的含义，如果有其他的win32状态码，请直接在命令行模式下使用“net helpmsg”命令查看。

“net helpmsg”命令格式：
NET HELPMSG
message#

其中message#代表win32状态码。